LDAP-adreslijstservices configureren voor Azure NetApp Files NFS-volumes (preview)

Naast systeemeigen Active Directory ondersteuning biedt Azure NetApp Files ondersteuning voor systeemeigen integratie met adreslijstservices, waaronder FreeIPA, Red Hat Identity Management (IdM), OpenLDAP, Red Hat Directory Server en Oracle Unified Directory (OUD) voor LDAP-adreslijstservers (Lightweight Directory Access Protocol). Met systeemeigen LDAP-adreslijstserverondersteuning kunt u veilig en schaalbaar toegangsbeheer op basis van identiteiten bereiken voor NFS-volumes in Linux-omgevingen.

De LDAP-integratie van Azure NetApp Files vereenvoudigt het toegangsbeheer voor bestandsshares door gebruik te maken van vertrouwde adreslijstservices. Het ondersteunt NFSv3- en NFSv4.1-protocollen en maakt gebruik van DNS SRV-recorddetectie voor hoge beschikbaarheid en taakverdeling op LDAP-servers. Vanuit bedrijfsperspectief verbetert deze functie het volgende:

• Naleving: Gecentraliseerd identiteitsbeheer ondersteunt controlebaarheid en beleidsafdwinging
• Efficiëntie: vermindert administratieve overhead door identiteitsbesturingselementen in Linux- en NTFS-systemen samen te heffen
• Beveiliging: ondersteunt LDAP via TLS, symmetrische/asymmetrische naamtoewijzing en uitgebreide groepslidmaatschappen
• Naadloze integratie: werkt met bestaande LDAP-infrastructuur
• Schaalbaarheid: ondersteunt grote gebruikers- en groepsmappen
• Flexibiliteit: compatibel met meerdere LDAP-implementaties

Ondersteunde adreslijstservices

• FreeIPA: Ideaal voor veilig, gecentraliseerd identiteitsbeheer in Linux-omgevingen
• Red Hat IdM: gecentraliseerd identiteits- en toegangsbeheer in Linux-omgevingen
• OpenLDAP: Lichtgewicht en flexibele adreslijstservice voor aangepaste implementaties
• Red Hat Directory Server: LDAP-service op ondernemingsniveau met geavanceerde schaalbaarheids- en beveiligingsfuncties
• Oracle Unified Directory: Ldap-adreslijstservice op ondernemingsniveau ideaal voor Oracle-toepassingsecosystemen, met replicatie met meerdere masters en uitgebreide nalevingsfuncties

Architecture

In het volgende diagram ziet u hoe Azure NetApp Files LDAP-bindings-/zoekbewerkingen gebruikt om gebruikers te verifiëren en toegangsbeheer af te dwingen op basis van mapgegevens.

De architectuur omvat de volgende onderdelen:

• Linux-client-VM: doet een aanvraag voor een NFS-koppeling naar Azure NetApp Files
• Azure NetApp Files-volume: ontvangt de koppelingsaanvraag en voert LDAP-query's uit
• LDAP-adreslijstserver: reageert op bindings-/zoekaanvragen met gebruikers- en groepsgegevens
• Beslissing over toegangsbeheer: dwingt toegangsbeslissingen af op basis van LDAP-antwoorden

Gegevensstroom

1. Koppelingsaanvraag: de Linux-VM verzendt een NFSv3- of NFSv4.1-koppelingsaanvraag naar Azure NetApp Files.
2. LDAP-binding/zoekopdracht: Azure NetApp Files verzendt een bindings-/zoekaanvraag naar de LDAP-server (FreeIPA, Red Hat IdM, OpenLDAP of RHDS) met behulp van de UID/GID.
3. LDAP-antwoord: de adreslijstserver retourneert gebruikers- en groepskenmerken.
4. Beslissing over toegangsbeheer: Azure NetApp Files evalueert het antwoord en verleent of weigert toegang.
5. Clienttoegang: de beslissing wordt teruggegeven aan de client.

Overwegingen

• FreeIPA, Red Hat IdM, OpenLDAP, Red Hat Directory Server en Oracle Unified Directory worden ondersteund met NFSv3- en NFSv4.1-volumes; ze worden momenteel niet ondersteund met volumes met twee protocollen.
• U moet de LDAP-server configureren voordat u het volume maakt.
• U kunt alleen FreeIPA, Red Hat IdM, OpenLDAP, Red Hat Directory Server of Oracle Unified Directory configureren op nieuwe NFS-volumes. U kunt bestaande volumes niet converteren om deze adreslijstservices te gebruiken.
• Kerberos wordt momenteel niet ondersteund met FreeIPA, Red Hat IdM, OpenLDAP, Red Hat Directory Server en Oracle Unified Directory.
• De TTL (Time-to-Live) voor zowel positieve als negatieve gebruikers-/groepsverificatievermeldingen in de NFS-referentiecache is standaard ingesteld op 1 uur.
• Neem contact op met de ondersteuning van Red Hat (IdM) voor problemen met beschikbaarheid, connectiviteit of adreslijst/verificatie die rechtstreeks op de IdM-server zijn waargenomen. Neem contact op met NetApp-ondersteuning voor problemen met betrekking tot Azure NetApp Files integratie, configuratie of toegang.
• Neem contact op met oracle-ondersteuning voor problemen met LDAP-connectiviteit of adreslijstgegevens die rechtstreeks met Oracle Unified Directory worden waargenomen. Neem contact op met NetApp Support voor problemen met betrekking tot Azure NetApp Files integratie en bewerkingen.
• Verificatie met behulp van opgegeven Binding-DN en wachtwoord (eenvoudig verificatietype) wordt niet ondersteund in overheidsregio's.

De functie registreren

Ondersteuning voor FreeIPA, Red Hat IdM, OpenLDAP, Red Hat Directory Server en Oracle Unified Directory is momenteel in preview. Voordat u uw NFS-volumes verbindt met een van deze mapservers, moet u de functie registreren:

1. De functie registreren:

   Register-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFOpenLDAP
   

2. Controleer de status van de functieregistratie:

   Opmerking

   De RegistrationState kan maximaal 60 minuten in de Registering status blijven staan voordat u overgaat naar Registered. Wacht totdat de status Registered is voordat u doorgaat.

   Get-AzProviderFeature -ProviderNamespace Microsoft.NetApp -FeatureName ANFOpenLDAP
   

U kunt ook Azure CLI-opdrachtenen az feature register de functie registreren en de registratiestatus weergeven.

De LDAP-server maken

U moet eerst de LDAP-server maken voordat u deze kunt verbinden met Azure NetApp Files. Volg de instructies voor de relevante server:

• Als u FreeIPA wilt configureren, raadpleegt u de Snelstartgids freeIPA en volgt u de richtlijnen van Red Hat.
• Zie de Red Hat-documentatie om RedHat IDM te configureren.
• Als u OpenLDAP wilt configureren, raadpleegt u de OpenLDAP-documentatie.
• Als u Red Hat Directory Server wilt configureren, volgt u de Red Hat-documentatie. Zie de Red Hat Directory-server installeren voor meer informatie.
• Als u Oracle Unified Directory wilt configureren, volgt u de Oracle Unified Directory-documentatie.

De LDAP-verbinding configureren in Azure NetApp Files

1. Selecteer in de Azure-portal LDAP-verbindingen binnen het NetApp-account.

2. Selecteer + Maken om een nieuwe LDAP-verbinding te maken.

   

3. Geef in het venster LDAP-verbinding configureren de verbindingsgegevens op:

   

   • Domeinnaam: De domeinnaam fungeert als de basis-DN.

   • LDAP-servers: Het IP-adres van de LDAP-server.

   • LDAP via TLS: Schakel desgewenst het selectievakje in om LDAP via TLS in te schakelen voor beveiligde communicatie.

     Opmerking

     Als u LDAP via TLS op meerdere servers wilt inschakelen, moet u het algemene certificaat op elke server genereren en installeren en vervolgens het CA-certificaat van de server uploaden in Azure Portal.

   • Ca-certificaat van de server: Het certificeringsinstantiecertificaat. Deze optie is vereist als u LDAP via TLS gebruikt.

   • CN-host voor certificaat: De algemene naamserver van de host, bijvoorbeeld server.contoso.com.

4. Selecteer het verificatietype

   • Anonieme: Maakt verbinding zonder een DN-naam of wachtwoord op te geven. Toegang wordt beheerd door het beleid voor anonieme toegang van de LDAP-server.
   • Simple: Verifieert met behulp van de opgegeven Binding-DN en een wachtwoord dat is opgehaald uit een geheim dat is opgeslagen in Azure Key Vault.

   

5. Geef in de Bind-DN-gebruikersnaam de distinguished name op van het account dat wordt gebruikt om zich te verifiëren bij de LDAP-server.
   Voorbeeld: uid=binduser,cn=users,cn=accounts,dc=contoso,dc=com

6. Selecteer het geheim in Azure Key Vault dat het bindingswachtwoord voor LDAP-verificatie bevat.

   • Voer de geheime URI in: U kunt de geheime id handmatig invoeren.
   • Selecteren uit Key Vault: U kunt het geheim selecteren in de Azure Key Vault.

   De Key Vault en Het geheim worden weergegeven. U kunt op Selectie wijzigen klikken om een ander geheim te selecteren.

7. Selecteer het identiteitstype dat wordt gebruikt voor toegang tot het Key Vault geheim. Als u een beheerde identiteit wilt configureren, klikt u op Nieuwe identiteit toevoegen in het bewerkingsvenster en selecteert u een van de volgende opties:

   • Door het systeem toegewezen: Schakel de door het systeem toegewezen beheerde identiteit in.
   • Door de gebruiker toegewezen: Selecteer of voeg een bestaande door de gebruiker toegewezen beheerde identiteit toe.

   Opmerking

   De identiteit moet minimaal de rol Key Vault Secrets User voor de doel-Key Vault toegewezen krijgen.

8. Selecteer Opslaan.

9. Zodra u de LDAP-verbinding hebt geconfigureerd, kunt u een NFS-volume maken.

De LDAP-verbinding valideren

1. Als u de verbinding wilt valideren, ga naar het volumeoverzicht van het volume via de LDAP-verbinding.
2. Selecteer de LDAP-verbinding en vervolgens de LIJST met LDAP-groeps-id's.
3. Voer in het veld Gebruikersnaam de gebruikersnaam in die is opgegeven bij het configureren van de LDAP-server. Selecteer Groeps-id's ophalen. Zorg ervoor dat de groeps-id's overeenkomen met de client en server.

Zie voor meer informatie Problemen met toegang van gebruikers tot LDAP-volumes in Azure NetApp Files oplossen.

Volgende stappen

• Inzicht in LDAP
• Inzicht in naamtoewijzing met LDAP
• Inzicht in het toestaan van lokale NFS-gebruikers met de LDAP-optie
• Inzicht in LDAP-schema's
• Een NFS-volume maken